华为防火墙配置培训

华为3Com技术有限公司华为3Com公司版权所有，未经授权不得使用与传播SecPath防火墙技术介绍2学习目标防火墙的域和模式攻击防范、包过滤、ASPF、NAT、黑名单的使用方法学习完本课程，您应该能够了解：3防火墙的模式路由模式为防火墙的以太网接口（以GigabitEthernet0/0为例）配置IP地址。[SecPath]interfaceGigabitEthernet0/0[SecPath-GigabitEthernet0/0]ipaddress192.168.0.1255.255.255.0透明模式当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置IP地址。这样，用户若要对防火墙进行Web管理，需在透明模式下为防火墙配置一个系统IP地址（SystemIP）。用户可以通过此地址对防火墙进行Web管理。缺省情况下，防火墙工作在路由模式。(1)配置防火墙工作在透明模式。[SecPath]firewallmode?routeRoutemodetransparentTransparentmode[SecPath]firewallmodetransparentSetsystemipaddresssuccessfully.TheGigabitEthernet0/0hasbeeninpromiscuousoperationmode!TheGigabitEthernet0/1hasbeeninpromiscuousoperationmode!AlltheInterfaces'sipshavebeendeleted.Themodeissetsuccessfully.从以上显示的系统提示信息可以看出，防火墙已经工作在透明模式下，且所有接口上的IP地址已经被删除。(2)为防火墙配置系统IP地址。[SecPath]firewallsystem-ip192.168.0.1255.255.255.0Setsystemipaddresssuccessfully.说明：当防火墙切换到透明模式时，系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8，可以使用上述命令更改系统IP地址。4防火墙的模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。相比较而言，路由模式的功能更强大一些；而在用户的网络无法变更的情况下，可以考虑采用透明模式。5防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的状态信息displayfirewall6在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效7基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间（上午8：00－下午5：00）只能访问特定的站点；其余时间可以访问其他站点8时间段的配置命令timerange命令timerange{enable|disable}[undo]settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr显示isintr命令displayisintr显示timerange命令displaytimerange9访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.10.0.0.255两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主机（202.38.160.0）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。10防火墙在测试环境中，划分了最常用的三个安全区域：Untrust区域——用于连接外部网络；DMZ区域——放置对外服务器；Trust区域——用于连接内部安全网络。DMZ区域Untrust区域SecPathserverBPC2192.168.1.3/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3.2/24LanswitchTrust区域PC1192.168.2.2/24serverAInternet11防火墙基本配置SecPath:InterfaceGigabitEthernet0/0ipaddress192.168.3.1255.255.255.0InterfaceGigabitEthernet0/1ipaddress192.168.1.1255.255.255.0InterfaceEthernet1/0ipaddress192.168.2.1255.255.255.0PC1:配置IP地址为192.168.1.3/24PC2:配置IP地址为192.168.1.2/2412防火墙的功能演示演示项目ASPF功能测试演示子项目FTP协议检测测试说明ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。通常在内部网络和外部网络之间应用ASPF功能，保证内部主机可以访问外部网络，只有由内部发起连接对应的返回报文才可以进入内部网络，而外部网络不能够直接发起对内部网络的访问。除了完成传统状态防火墙的功能之外，对应用层协议进行检测，安全性更高。本例演示ASPF功能对FTP协议的状态检测。预置条件见演示环境及基本配置[Quidway]firewallpacket-filterenable[Quidway]aclnumber2000[Quidway-acl-basic-2000]ruledeny[Quidway]aspf-policy1[Quidway-aspf-policy-1]detectftpaging-time120[Quidway]interfaceGigabitEthernet0/1[Quidway-GigabitEthernet0/1]firewallpacket2000outbound[Quidway-GigabitEthernet0/1]firewallaspf1inbound在PC2上运行ftp服务器配置步骤1.打开SecPath的debugaspfftp开关2.pc1上运行ftpclient程序，登录ServerB上的ftpserver3.查看SecPath上的debug信息，可以看到结果14.执行disaspfsession查看SecPath上的ASPF会话信息，可以看到结果25.等待ftp超时后，可以看到结果36.在ServerB上ftp到PC1上的ftpserver，可以看到结果4预期结果1.debug信息显示有aspf调试信息*0.1039008501000ASPF/8/FTP:Session0x264168C4-state=83,token=32,string'USER',value1331Passwordrequiredfora.2.查看aspfsession存在ftp会话信息3.aspfsession超时删除，PC1不能浏览或上传下载数据到ftpserver4.ServerB上不能ftp到内部网络的主机上。13防火墙的功能演示演示项目ASPF功能测试演示子项目TCP协议测试演示说明本例演示ASPF功能对TCP协议的状态检测。预置条件见演示环境及基本配置[Quidway]firewallpacket-filterenable[Quidway]aclnumber2000[Quidway-acl-basic-2000]ruledeny[Quidway]aspf-policy1[Quidway-aspf-policy-1]detecttcpaging-time120[Quidway]interfaceGigabitEthernet0/1[Quidway-GigabitEthernet0/1]firewallpacket2000outbound[Quidway-GigabitEthernet0/1]firewallaspf1inbound在PC2上运行telnet服务器测试步骤1.打开SecPath的debugaspftcp开关2.pc1telnet登录到ServerB3.查看SecPath上的debug信息，可以看到结果14.执行disaspfsession查看SecPath上的ASPF会话信息，可以看到结果25.等待tcp超时后，可以看到结果36.在PC1上启动telnet服务，从ServerB上telnetPC1,可以看到结果4预期结果1.debug信息显示有aspf调试信息2.查看aspfsession存在tcp会话信息3.aspfsession超时删除，telnet连接断开4.telnet不成功14防火墙的功能演示演示项目攻击防范测试演示子项目UDPFLOOD攻击防范测试／ICMPFLOOD攻击防范测试演示说明攻击者短时间内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。本测试验证防火墙对UDPFLOOD攻击的阻断，配置中保护DMZ中的主机不会受到UDPFLOOD攻击的影响。预置条件见演示环境及基本配置[Quidway]firewalldefendudp-floodenable[Quidway]firewalldefendudp-floodzoneDMZmax-rate1000[Quidway]firewallzoneDMZ[Quidway-zone-DMZ]statisticenableipinzone或[Quidway]firewalldefendicmp-floodenable[Quidway]firewalldefendicmp-floodzoneDMZmax-rate100[Quidway]firewallzoneDMZ[Quidway-zone-DMZ]statisticenableipinzone演示步骤1．在ServerB上(Linux环境下可以使用hping2程序)发送大量的UDP报文到ServerA上。2．在ServerA上使用抓包工具抓包，可以看到结果13．在SecPath上取消UDPFLOOD攻击防范功能：[Quidway]undofirewalldefendudp-floodenable在ServerB上发送大量的UDP报文，同时在ServerA上抓包，可以看到结果2预期结果1.ServerA上接收到少量的UDP报文.同时在SecPath上会看到UDPFLOOD